Antivirenprogramm

Ein Antivirenprogramm, Virenscanner oder Virenschutz-Programm (Abkurzung: AV) ist eine Software, die Schadprogramme wie z. B. Computerviren, Computerwurmer oder Trojaner aufspuren, blockieren, gegebenenfalls betroffene Nutzer informieren und die Schadsoftware beseitigen soll.

Die meisten Computerviren, die Anfang und Mitte der 1980er Jahre geschrieben wurden, waren auf Selbstreproduktion beschrankt und verfugten auch oft nicht unbedingt uber eine spezifische Schadfunktion. Erst als die Technik der Virenprogrammierung breiteren Kreisen bekannt wurde, tauchten zunehmend Schadprogramme auf, die gezielt Daten auf infizierten Rechnern manipulierten oder zerstorten. Damit entstand die Notwendigkeit, spezielle Antivirenprogramme zur Bekampfung dieser Schadsoftware zu erwagen.^[1]

Es gibt konkurrierende Anspruche, wer sich Erfinder des ersten Antivirenprogramms nennen darf. Das erste Programm zur Bekampfung des Creeper-Virus im ARPA-Net wurde bereits 1971 entwickelt. Die wahrscheinlich erste offentlich dokumentierte Entfernung eines Computervirus mit einem Tool wurde von Bernd Fix im Jahr 1987 durchgefuhrt.^[2] Fred Cohen, der schon 1984 durch seine Arbeiten das Thema "Computerviren" offentlich gemacht hatte,^[3] entwickelte ab 1988 Strategien zur Virenbekampfung. Diese wurden spater fur Antivirenprogramme genutzt und weiterentwickelt.

Ebenfalls 1988 entstand im BITNET/EARN-Rechnerverbund eine Mailingliste namens "VIRUS-L", in der vor allem uber das Auftauchen neuer Viren sowie uber die Moglichkeiten zur Virenbekampfung diskutiert wurde. Einige Teilnehmer dieser Liste, wie zum Beispiel John McAfee oder Eugene Kaspersky, grundeten in Folge Unternehmen, die kommerzielle Antivirenprogramme entwickelten und anboten. Vier Jahre zuvor, 1984, war schon Arcen Data (heute Norman ASA) gegrundet worden, das sich Ende der 1980er Jahre mit dem Auftauchen der ersten Computerviren in Norwegen ebenfalls auf Antivirenprogramme spezialisierte.^[4] Im Jahr 1987 stellte das Unternehmen G DATA Software das weltweit erste kommerzielle Virenschutzprogramm vor, welches speziell fur den Atari ST entwickelt wurde.^[5][6][7]

Bevor eine Internet-Verbindung ublich wurde, verbreiteten sich Viren typischerweise uber Disketten. Antivirenprogramme wurden zwar manchmal verwendet, aber nur unregelmassig auf einen aktuellen Stand gebracht. Wahrend dieser Zeit pruften diese nur die ausfuhrbaren Programme sowie die Boot-Sektoren auf Disketten und Festplatten. Mit der Verbreitung des Internets begannen Viren auf diesem Weg, neue Rechner zu infizieren, damit eine allgemeinere Gefahr darzustellen und sich sehr viel schneller weiterzuverbreiten.^[8]

Mit der Zeit wurde es fur Antivirenprogramme immer wichtiger, verschiedene Dateitypen (und nicht nur ausfuhrbare Programme) auf verborgene Viren zu untersuchen. Dies hatte unterschiedliche Grunde:

• Die Verwendung von Makros in Textverarbeitungsprogrammen wie Microsoft Word stellte ein zusatzliches Infektionsrisiko dar, da Virenprogrammierer begannen, schadliche Makros in Dokumente einzubetten. Dies bedeutete, dass Computer allein dadurch infiziert werden konnten, dass ein eingebettetes Makrovirus in einem Dokument ausgefuhrt wurde.^[9] Das Makro installierte externe Schadsoftware wie Trojanisches Pferde, Rootkits und meist Botnets, um deren Betreibern den Zugang zum infizierten System zu verschaffen.
• Spatere E-Mail-Programme, insbesondere Microsoft Outlook Express und Microsoft Outlook, waren verwundbar fur Viren, die in E-Mails eingebunden waren. Damit konnte ein Rechner schon durch das Offnen der E-Mail infiziert werden.

Mit der steigenden Anzahl vorhandener Viren wurde auch die kontinuierliche Aktualisierung der Antivirenprogramme notwendig. Doch selbst unter diesen Umstanden konnte sich ein neuartiger Virus innerhalb kurzer Zeit stark verbreiten, bevor Hersteller von Antivirenprogrammen darauf mit einer Aktualisierung reagieren konnten.

Der Echtzeitscanner (englisch on-access scanner, real-time protection, background guard), auch "Zugriffsscanner" oder "residenter Scanner" genannt, ist im Hintergrund als Systemdienst (Windows) oder Daemon (Unix) aktiv und scannt alle Dateien, Programme, den Arbeitsspeicher und evtl. den HTTP- wie den FTP-Verkehr. Um dies zu erreichen, werden so genannte Filtertreiber vom Antivirenprogramm installiert, welche die Schnittstelle zwischen dem Echtzeitscanner und dem Dateisystem bereitstellen. Findet der Echtzeitscanner etwas Verdachtiges, fragt er in der Regel den Benutzer nach dem weiteren Vorgehen. Dies ist das Blockieren des Zugriffs, das Loschen der Datei, das Verschieben in die Quarantane oder, wenn moglich, ein Reparaturversuch. Generell kann beim Echtzeitschutz zwischen zwei Strategien unterschieden werden:

1. Scannen beim Offnen von Dateien (Lesevorgang)
2. Scannen beim Erstellen / Andern von Dateien (Schreibvorgang)

Es kann der Fall eintreten, dass eine virulente Datei gespeichert wurde, bevor eine Virensignatur, durch welche der Virus erkannt wird, fur sie verfugbar war. Nach einem Signatur-Update ist es aber moglich, sie beim Offnen zu erkennen. In diesem Fall ist also ein Scanvorgang beim Offnen der Datei dem Scanvorgang beim Schreiben der Datei uberlegen. Um die Belastung der verfugbaren Rechnerleistung durch den Echtzeitscanner zu verringern, werden meist bestimmte Dateiformate, komprimierte Dateien (Archive) oder Ahnliches nur teilweise oder gar nicht gescannt.

Der manuelle Scanner (englisch on-demand scanner ,auf Abruf'), auch als Dateiscanner bezeichnet, muss vom Benutzer manuell oder zeitgesteuert gestartet werden. Findet ein Scanner schadliche Software, erscheint eine Warnmeldung und in der Regel auch eine Abfrage der gewunschten Aktion, z. B. Quarantane oder Loschung der befallenen Datei(en).

Als Online-Virenscanner werden Antivirenprogramme bezeichnet, die sowohl ihren Programmcode als auch die Viren-Signaturen uber ein Netzwerk (online) laden. Im Gegensatz zu fest installierten Virenscannern arbeiten sie nur im On-Demand-Modus. Das heisst, der persistente Schutz durch einen On-Access-Modus ist nicht gewahrleistet. Online-Virenscanner werden oftmals als sogenannte "Second-Opinion-Scanner" benutzt, um sich zusatzlich zum bereits installierten Virenscanner eine ,,zweite Meinung" zu eventuellem Befall einzuholen.

Weiterhin gibt es Webseiten, die es ermoglichen, einzelne Dateien mit verschiedenen Virenscannern zu prufen. Fur diese Art des Scans muss der Benutzer selbst aktiv die Datei hochladen, es ist also eine Spezialform des On-Demand-Scans.

Ein Beispiel dafur ist die Seite VirusTotal, welche mithilfe von mehreren Antivirenprogrammen sowie YARA feststellt, ob eine gegebene Datei schadlich einzuordnen ist.^[10]

Neben dem Echtzeit- und dem manuellen Scanner gibt es noch eine Reihe weiterer Scanner.

• Die meisten davon arbeiten, indem sie den Netzwerkverkehr analysieren. Dazu scannen sie den Datenstrom und fuhren bei einer Auffalligkeit eine definierte Operation aus, wie etwa das Sperren des Datenverkehrs.

• Eine andere Losung ist der Einsatz von Proxy-Software. Manche Proxys erlauben das Anbinden von Antivirensoftware. Wird eine Datei so heruntergeladen, wird diese zunachst am Proxy untersucht und gepruft, ob sie verseucht ist. Je nach Ergebnis wird sie dann an den Client ausgeliefert oder gesperrt. Ein deutlicher Nachteil besteht jedoch in der Tatsache, dass dies bei einer Ende-zu-Ende-Verschlusselung quasi wirkungslos ist. Eine Variante dieser Proxy-Virusfilter sind Mail-Relay-Server mit Antivirus-Software, teilweise als ,,Online-Virusfilter" bezeichnet (vgl. aber oben). Dabei werden E-Mails zunachst auf den Relay-Server geleitet, dort gescannt und abgewiesen, unter Quarantane gestellt oder gesaubert und dann auf den Mailserver des Empfangers weitergeleitet.

Virenscanner konnen prinzipiell nur bekannte Schadprogramme (Viren, Wurmer, Trojaner etc.) bzw. Schadlogiken (englisch Evil Intelligence) erkennen und somit nicht vor allen Viren und Wurmern schutzen. Daher konnen Virenscanner generell nur als Erganzung zu allgemeinen Vorsichtsmassnahmen betrachtet werden, die Vorsicht und aufmerksames Handeln bei der Internetnutzung unentbehrlich macht. So erreichte die Stiftung Warentest bei einem ,,internationalen Gemeinschaftstest"^[11][12] Anfang 2012 gegen 1.800 eingesetzte ,,aktuelle" Schadlinge mit 18 Antivirusprogrammen Werte von 36 % bis 96 % aufgespurten Signaturen.^[13] Symantec-Vizechef Brian Dye gestand gegenuber dem Wall Street Journal ein, dass Antivirensoftware nur etwa 45 % aller Angriffe erkenne.^[14]

Grundsatzlich kann bei der Erkennung zwischen zwei Techniken unterschieden werden. Aufgrund der Vor- und Nachteile werden bei aktuellen Virenscannern beide Techniken eingesetzt, um die Schwachen der jeweils anderen auszugleichen^[15].

• Reaktiv: Bei dieser Art der Erkennung wird ein Schadling erst erkannt, wenn eine entsprechende Signatur (oder bekannter Hash-Wert in der Cloud) seitens des Herstellers der Antivirensoftware zur Verfugung gestellt wurde. Dies ist die klassische Art der Virenerkennung, welche von praktisch jeder Antivirensoftware verwendet wird.
  • Vorteil: Eine Signatur kann innerhalb kurzer Zeit erstellt werden und bildet daher immer noch das Ruckgrat eines jeden Scanners (bei Online-Verbindungen zusatzlich Cloud-basierte Erkennung)
  • Nachteil: Ohne aktualisierte Signaturen werden keine neuen Schadprogramme erkannt.
• Proaktiv: Dies bezeichnet die Erkennung von Malware, ohne dass eine entsprechende Signatur zur Verfugung steht. Aufgrund der rapiden Zunahme neuer Schadprogramme werden solche Techniken immer wichtiger. Proaktive Verfahren sind etwa die Heuristik, die Verhaltensanalyse oder SandBox-Techniken^[16][17].
  • Vorteil: Erkennung noch unbekannter Schadprogramme.
  • Nachteil: Die komplexe Technik bedarf hoher Entwicklungskosten und langer Entwicklungszyklen. Proaktive Techniken haben prinzipbedingt gegenuber reaktiven Techniken eine hohere Fehlalarmquote.

Unter einer "Scanengine" versteht man den Programmteil eines Virenscanners, der fur die Untersuchung eines Computers oder Netzwerkes auf Schadprogramme verantwortlich ist^[18]. Eine Scanengine ist somit unmittelbar fur die Effizienz von Antivirensoftware verantwortlich. Gewohnlich sind Scanengines Softwaremodule, die unabhangig vom Rest eines Virenscanners aktualisiert und eingesetzt werden konnen. Es gibt Antivirensoftware, welche neben der eigenen Scanengine auch lizenzierte Scanengines anderer AV-Hersteller einsetzt^[19]. Durch den Einsatz mehrerer Scanengines kann zwar die Erkennungsrate theoretisch gesteigert werden, jedoch fuhrt dies immer zu drastischen Performance-Verlusten. Ob sich Virenscanner mit mehreren Scanengines als sinnvoll erweisen, bleibt daher fragwurdig, hangt vom Sicherheitsanspruch oder dem Anspruch an System-Performance ab und muss von Fall zu Fall entschieden werden.

Die Leistungsfahigkeit eines signaturbasierten Antivirenscanners bei der Erkennung von schadlichen Dateien hangt nicht nur von den verwendeten Viren-Signaturen ab. Oftmals werden die ausfuhrbaren Dateien vor ihrer Verbreitung so gepackt, dass sie sich spater selbst entpacken konnen (Laufzeitkomprimierung). So kann ein eigentlich bekannter Virus der Erkennung durch manche Scanner entgehen, weil diese nicht in der Lage sind, den Inhalt des laufzeitkomprimierten Archives zu untersuchen. Bei diesen Scannern kann nur das Archiv als solches in die Signaturen aufgenommen werden. Wird das Archiv neu gepackt (ohne den Inhalt zu andern), musste dieses Archiv ebenfalls in die Signaturen aufgenommen werden. Ein Scanner mit der Fahigkeit, moglichst viele Formate entpacken zu konnen, ist hier im Vorteil, weil er den Inhalt der Archive untersucht. Somit sagt auch die Anzahl der verwendeten Signaturen noch nichts uber die Erkennungsleistung des Scanners aus.

Eine Engine beinhaltet mehrere Module, die je nach Hersteller unterschiedlich implementiert und integriert sind und miteinander interagieren:

• Dateiformat-Analyse (wie Programme (PE, ELF), Skripte (VBS, JavaScript), Datendateien (PDF, GIF))
• Pattern-Matcher (Mustererkennung) fur die klassischen Signaturen
• Entpack-Routinen fur
  • laufzeitkomprimierte Programme und Verschlusselungsroutinen (so etwa UPX, Aspack, Y0daCrypt)
  • Archive (so ZIP, RAR, 7z, UUE/Base64)
  • Mailbox-Formate (so mbox, .dbx, .eml, MIME)
• Code-Emulation (vergleichbar mit einer Art Mini-Sandbox oder es greift eine Sandbox darauf zuruck, nutzlich fur generische Erkennung oder bei polymorphen Schadprogrammen)
• Heuristik fur unterschiedliche Typen (PE, Scripte, Makros)
• diverse Filter (In ELF-Dateien muss nicht nach PE-Signaturen gesucht werden oder per Zugriffsschutz geblockten Dateien, Entweder gibt es vordefinierte Regeln oder der Filter muss selbst konfiguriert werden.)

Des Weiteren oder vorrangig beim Echtzeitschutz eingesetzt:

• Verhaltensanalyse
• Cloud-Technik
• Sandbox

Einige Virenscanner verfugen uber die Moglichkeit, auch nach allgemeinen Merkmalen zu suchen (Heuristik),^[12] um unbekannte Viren zu erkennen, oder sie bringen ein rudimentares Intrusion Detection System (IDS) mit. Die Wichtigkeit dieser - praventiven - Art der Erkennung nimmt stetig zu, da die Zeitraume, in denen neue Viren und Varianten eines Virus in Umlauf gebracht werden (auf den Markt drangen), immer kurzer werden. Fur die Hersteller von Antiviren-Software wird es somit immer aufwandiger und schwieriger, alle Schadlinge zeitnah durch eine entsprechende Signatur zu erkennen.

Heuristika sollten nur als Zusatzfunktion des Virenscanners angesehen werden. Die tatsachliche Erkennung noch unbekannter Schadprogramme ist eher gering, da die Schadprogramm-Autoren meistens ihre ,,Werke" mit den bekanntesten Scannern testen und sie so andern, dass sie nicht mehr erkannt werden.

Um die Erkennung von unbekannten Viren und Wurmern zu erhohen, stellte der norwegische Antivirenhersteller Norman im Jahr 2001 eine neue Technik vor, bei der die Programme in einer gesicherten Umgebung, der Sandbox, ausgefuhrt werden. Dieses System funktioniert, vereinfacht ausgedruckt, wie ein Computer im Computer. In dieser Umgebung wird die Datei ausgefuhrt und es wird analysiert, welche Aktionen sie startet. Bei Bedarf kann die Sandbox auch Netzwerkfunktionalitaten, etwa die eines Mail- oder IRC-Servers, bereitstellen. Die Sandbox erwartet bei der Ausfuhrung der Datei eine fur diese typische Verhaltensweise. Weicht das Verhalten von einem gewissen Grad zu sehr ab, klassifiziert die Sandbox diese als potentielle Gefahr. Dabei kann sie beispielsweise folgende Gefahrdungen unterscheiden:

• W32/Malware
• W32/EMailWorm
• W32/NetworkWorm
• W32/BackDoor
• W32/P2PWorm
• W32/FileInfector
• W32/Dialer
• W32/Downloader
• W32/Spyware

Als Ergebnis liefert sie zudem eine Ausgabe, die zeigt, welche Aktionen die Datei auf dem System ausgefuhrt hatte und welcher Schaden dabei angerichtet worden ware. Diese Information kann auch nutzlich sein, um die Bereinigung eines infizierten Computersystems vorzunehmen. Durch die Sandbox-Technik konnten nach Tests von AV-Test^[20] 39 % noch unbekannter Viren und Wurmer erkannt werden, bevor eine Signatur bereitstand. Im Vergleich zu einer herkommlichen Heuristik ist dies ein wirklicher Fortschritt in proaktiver Erkennung. Nachteil der Sandbox-Technik ist, dass sie durch die Code-Emulation recht Ressourcen-intensiv und langsamer als klassisches Scannen nach Signaturen ist. Daher wird sie primar in den Labors der Antiviren-Hersteller verwendet, um die Analyse- und damit die Reaktionszeit zu verbessern.

Ahnlich wie bei Online-Scannern stellen verschiedene Anbieter Web-Oberflachen ihrer Sandboxen zur Analyse einzelner verdachtiger Dateien zur Verfugung. Dabei werden Basisfunktionen oft kostenlos und erweiterte Funktionen gegen ein Entgelt zur Verfugung gestellt.^{[21][22][23][24][25][26][27][28]}

Die Verhaltensanalyse (englisch Behavior Analysis/Blocking, oft auch als "Host-based Intrusion Detection System" bezeichnet, vgl. NIDS) soll ahnlich wie Sandbox und Heuristik anhand von typischen Verhaltensweisen Schadprogramme erkennen und blockieren. Allerdings wird die Verhaltensanalyse nur bei der Echtzeituberwachung eingesetzt. Dies deshalb, da dabei die Aktionen eines Programms - im Gegensatz zur Sandbox - auf dem echten Computer mitverfolgt werden. Sie kann damit vor Uberschreiten einer Reizschwelle (Summe der verdachtigen Aktionen) oder bei Verstossen gegen bestimmte Regeln (vor offensichtlich destruktiven Aktionen wie z. B. Festplatten-Formatierung, Loschen von Systemdateien) einschreiten. Bei der Verhaltensanalyse wird oft mit Statistik (Bayes Spamfilter), neuronalen Netzwerken, genetischen Algorithmen oder anderen ,,trainierbaren" bzw. ,,lernfahigen" Algorithmen gearbeitet.

Einen neuartigen Ansatz verfolgt der Munchner IT-Dienstleister Retarus mit seiner "Patient Zero Detection" genannten Losung. Diese bildet Hash-Werte uber alle Anhange von E-Mails, die uber die Infrastruktur des IT-Dienstleisters ankommen, und schreibt sie in eine Datenbank. Wird zu einem spateren Zeitpunkt ein identischer Anhang von einem Scanner als infiziert aussortiert, konnen die bereits mit dem Schadcode zugestellten Nachrichten anhand der Prufsumme nachtraglich identifiziert, und der Administrator und Empfanger umgehend daruber benachrichtigt werden. Wurden die infizierten Mails noch nicht geoffnet, lassen sie sich ungelesen loschen; in jedem Fall wird die IT-Forensik erleichtert.^[29]

Der prinzipielle Unterschied der Cloud-Technik (dt. ,Wolke') zu ,,normalen" Scannern ist, dass die Signaturen ,,in der Cloud" (auf den Servern der Hersteller) liegen und nicht auf der lokalen Festplatte des eigenen Computers oder auch in der Art der Signaturen (Hash-Werte statt klassischer Virensignaturen wie Bytefolge ABCD an Position 123). Die Signaturen werden nicht bei allen Produkten lokal zwischengespeichert,^[30] sodass ohne Internetverbindung nur eine reduzierte oder gar keine Erkennungsleistung verfugbar ist. Manche Hersteller bieten fur Unternehmen eine Art ,,Cloud Proxy" an, welcher die Hash-Werte lokal zwischenpuffert. Ein grosser Vorteil der Cloud-Technik ist die Reaktion nahezu in Echtzeit. Die Hersteller verfolgen unterschiedliche Ansatze. Bekannt sind die Programme Panda Cloud Antivirus^[31] (arbeitet inzwischen mit einem lokalen Cache^[32]), McAfee Global Threat Intelligence - GTI (fruher Artemis),^[33] F-Secure Realtime Protection Network,^[34] Microsoft Morro SpyNet^[35] und Immunet ClamAV fur Windows^[36] sowie Symantec mit Nortons SONAR 3 und das Kaspersky Security Network.^[37]

1. Die Mehrheit der Hersteller ubertragen lediglich Hash-Werte. Das heisst, wenn sich die Datei eines (Schad-)Programms nur um 1 Bit andert, wird es nicht mehr erkannt. Bis dato ist nicht bekannt (wobei es aber anzunehmen ist), ob Hersteller ebenfalls ,,unscharfe" Hashes (z. B. ssdeep^[38]) einsetzen, die eine gewisse Toleranz erlauben.
2. Es werden Fehlerkennungen minimiert, da die White- und Blacklists bei den Herstellern standig mit neuen Hash-Werten von Dateien aktualisiert werden.
3. Ressourcen-Einsparung: Bereits analysierte Dateien werden nicht mehr erneut aufwendig in einem Emulator oder Sandbox beim Endbenutzer am Computer analysiert.
4. Statistische Auswertung der Ergebnisse beim Hersteller: Von Symantec ist bekannt, dass Hash-Werte von neuen, unbekannten und wenig verbreiteten Dateien als verdachtig eingestuft werden. Unruhmliche Bekanntheit hat diese Funktion unter anderem bei Firefox-Aktualisierungen erlangt.^[39]

Die sogenannte Auto-, Internet- oder auch Live-Updatefunktion, mit der automatisch beim Hersteller aktuelle Virensignaturen heruntergeladen werden, ist bei Virenscannern von besonderer Bedeutung. Wenn sie aktiviert ist, wird der Benutzer regelmassig daran erinnert, nach aktuellen Updates zu suchen, oder die Software sucht selbststandig danach. Es empfiehlt sich, diese Option zu nutzen, um sicherzugehen, dass das Programm wirklich auf dem aktuellen Stand ist.

Da Virenscanner sehr tief ins System eingreifen, kommt es bei einigen Anwendungen zu Problemen, wenn sie gescannt werden. Zumeist kommen diese Probleme beim Echtzeitscan zum Tragen. Um Komplikationen mit diesen Anwendungen zu verhindern, erlauben die meisten Virenscanner das Fuhren einer Ausschlussliste, in der definiert werden kann, welche Daten nicht vom Echtzeitscanner uberwacht werden sollen. Haufige Probleme treten auf mit:

• Zeitkritischen Anwendungen: Da die Daten immer erst gescannt werden, entsteht eine gewisse Verzogerung. Fur einige Applikationen ist diese zu gross und sie erzeugen Fehlermeldungen oder Funktionsstorungen. Besonders haufig tritt dieses Verhalten auf, wenn auf Daten uber eine Netzwerkfreigabe zugegriffen wird und an diesem entfernten Rechner ebenfalls eine Antivirensoftware lauft.
• Datenbanken (jeglicher Art): Da auf Datenbanken fur gewohnlich ein standiger Zugriff stattfindet und sie oftmals sehr gross sind, versucht der Echtzeitscanner, diese dauerhaft zu scannen. Dies kann zu Timeout-Problemen, ansteigender Systemlast, Beschadigungen der Datenbank bis hin zum volligen Stillstand des jeweiligen Computersystems fuhren.
• Mailserver: Viele Mailserver speichern E-Mails MIME- oder ahnlich codiert auf der Festplatte ab. Viele Echtzeitscanner konnen diese Dateien decodieren und Viren entfernen. Da der E-Mailserver jedoch von dieser Entfernung nichts wissen kann, ,,vermisst" er diese Datei, was ebenfalls zu Funktionsstorungen fuhren kann.
• Parsing: Weil Antivirensoftware viele verschiedene, teils unbekannte Dateiformate mit Hilfe eines Parsers untersucht, kann sie selbst zum Ziel von Angreifern werden.^[40][41]
• Haufig erlauben es Virenscanner nicht, noch einen zweiten Virenscanner parallel auszufuhren.
• False Positives, also Fehlalarme, die bei einigen Virenscannern zu einer automatischen Loschung, Umbenennung etc. fuhren und teilweise nur sehr schwer deaktiviert werden konnen. Nach einer Ruckumbenennung ,,erkennt" das Programm erneut diese Datei und benennt sie wieder um.

Die Zuverlassigkeit und Wirksamkeit von Virenscannern wird oft angezweifelt. So vertrauen nach einer Umfrage aus dem Jahr 2009 drei Viertel der befragten Systemadministratoren (Admins) oder Netzwerkbetreuer den Virenscannern nicht. Hauptgrund sei die tagliche Flut neuester unterschiedlichster Varianten von Schadlingen, die das Erstellen und Verteilen von Signaturen immer unpraktikabler machten. 40 Prozent der befragten Administratoren hatten bereits daruber nachgedacht, die Virenscanner zu entfernen, weil diese die Performance des Systems negativ beeinflussen. Vielfach werden Virenscanner eingesetzt, weil die Unternehmensrichtlinien dieses forderten, so die Umfrage.^[42] Diese Studie wurde allerdings von einem Unternehmen in Auftrag gegeben, das eine konkurrierende Software vertrieb, die anhand von Positivlisten das Ausfuhren von Programmen erlaubt. Dieser ,,Whitelisting"-Ansatz hat je nach Einsatzgebiet ebenso Vor- und Nachteile.^[43][44] Im Jahr 2008 sagte Eva Chen, CEO von Trend Micro, dass die Hersteller von Antivirenprogrammen die Wirksamkeit ihrer Produkte seit 20 Jahren ubertrieben und ihre Kunden damit angelogen hatten. Sinngemass: Kein Antivirusprogramm konne alle Viren blockieren, dafur gabe es zu viele.^[45]

Eine Sicherheitsstudie ergab 2014, dass nahezu alle untersuchten Antivirenprogramme verschiedenste Fehler aufweisen und damit teilweise die Systeme, auf denen sie installiert sind, angreifbar machen.^[46][47]

Das BSI fasst die grundlegende Problematik des Einsatzes von Virenscannern wie folgt zusammen:

,,Antivirensoftware, einschliesslich der damit verbundenen echtzeitfahigen Clouddienste, verfugt uber weitreichende Systemberechtigungen und muss systembedingt (zumindest fur Aktualisierungen) eine dauerhafte, verschlusselte und nicht prufbare Verbindung zu Servern des Herstellers unterhalten. Daher ist Vertrauen in die Zuverlassigkeit und den Eigenschutz eines Herstellers sowie seiner authentischen Handlungsfahigkeit entscheidend fur den sicheren Einsatz solcher Systeme. Wenn Zweifel an der Zuverlassigkeit des Herstellers bestehen, birgt Virenschutzsoftware ein besonderes Risiko fur eine zu schutzende IT-Infrastruktur."^[48]

Signaturen sollen sicherstellen, dass Dateien (z. B. von einer Software) tatsachlich vom erwartenden Urheber (Hersteller/Entwickler) stammen und nicht unbemerkt von Dritten manipuliert wurden. Hierfur besitzt der erwartende Urheber ein Zertifikat, womit er die Signatur in seinem Namen durchfuhren lassen kann. Die Gegenstelle (z. B. das System eines Nutzers) pruft, ob eine Signatur vorhanden und gultig ist. Signierte Software wird beispielsweise vom Betriebssystem Microsoft Windows als vertrauenswurdig erachtet und kann dadurch eine Reihe an Sicherheitsmassnahmen umgehen. Auch Antivirensoftware verhalt sich ahnlich.

2017 zeigte eine Untersuchung jedoch noch weitaus schwerwiegendere Mangel in Antivirenscannern: Sicherheitsforscher signierten bekannte Schadprogramme (die folglich von den Virenscannern erkannt wurden) mit einem ungultigen Zertifikat. Samtliche Antivirenprogramme erkannten mindestens eine der zehn Schadprogramme nicht und vertrauten der abgelaufenen Signatur. Die schlechtesten Produkte erkannten bis zu 8 von 10 ungultig signierten Schadprogramme nicht. Viele Computer liessen sich uber diesen Weg trotz des vorhandenen Antivirenprogramms relativ einfach infizieren.

Daruber hinaus existieren tiefer gehende Probleme mit digitalen Signaturen, die durch das pauschale Vertrauen von Virenscannern und Betriebssystemen zu Sicherheitsproblemen fuhren. So stellten die Forscher fest, dass 75 von 189 analysierten Malware-Proben mit einer gultigen Signatur versehen waren, die zuvor jedoch bereits fur legitime Programme genutzt wurde. In diesen Fallen hat der rechtmassige Inhaber des Zertifikats dieses aber nicht ausreichend geschutzt, sodass dieses zur Signierung von Schadsoftware in seinem Namen missbraucht werden konnte.^[49]

Die Funktion des Virenscanners kann nach der Installation und nach grosseren Systemupdates uberpruft werden. Damit kein ,,echter" Virus zum Test der Virenscanner-Konfiguration verwendet werden muss, hat das European Institute of Computer Antivirus Research in Verbindung mit den Virenscanner-Herstellern die sogenannte EICAR-Testdatei entwickelt. Sie ist kein Virus, wird aber von jedem namhaften Virenscanner als Virus erkannt. Mit dieser Datei kann getestet werden, ob das Antivirenprogramm korrekt eingerichtet ist und ob alle Arbeitsschritte des Virenscanners fehlerfrei arbeiten.

Antivirensoftware gibt es kostenlos oder als kostenpflichtige Angebote. Haufig bieten kommerzielle Hersteller auch kostenlose Versionen mit abgespecktem Funktionsumfang an.^[50] Die Stiftung Warentest kam im Fruhjahr 2017 zum Ergebnis, dass guter Schutz auch ohne Kosten zur Verfugung steht.^[51] Die folgende Tabelle gibt nur einen kleinen Uberblick uber einige relevante Hersteller, Produkte und Marken.

• Robert A. Gehring: Ein Immunsystem fur den Computer (Memento vom 5. September 2009 im Internet Archive), in: Verbraucher sicher online. (durch das BMELV gefordertes Projekt der Technischen Universitat Berlin)

1. | Eine kurze Geschichte der Viren (Memento vom 12. Februar 2011 im Internet Archive) auf computerviren-info.de
2. | Kaspersky Lab Virus list (Memento vom 13. Juli 2009 im Internet Archive) (englisch)
3. | eecs.umich.edu Fred Cohen 1984 ,,Computer Viruses - Theory and Experiments" (englisch)
4. | Zeitleiste Norman 1989 bis 2009 (Memento vom 5. Oktober 2013 im Internet Archive). In: norman.no (PDF; 901 kB), (englisch).
5. | CyberDefense - Made in Germany - G DATA ab sofort mit neuem Namen. In: wallstreet-online.de. 30. September 2019, abgerufen am 9. Juni 2023.
6. | Andreas Luning grundete weltweit aktive IT-Security Firma: Virenbekampfer aus Wanne-Eickel. In: inherne.net. 27. Februar 2019, abgerufen am 9. Juni 2023.
7. | Hubert Popiolek, Dany Dewitz: Virenschutz made in Germany: Das steht hinter G Data. Computer Bild, 22. Mai 2015, archiviert vom Original am 19. Mai 2021; abgerufen am 19. Mai 2021.
8. | (II) Evolution of computer viruses. Panda Security, April 2004, archiviert vom Original am 2. August 2009; abgerufen am 20. Juni 2009 (englisch).
9. | Peter Szor: The Art of Computer Virus Research and Defense. Addison-Wesley, 2005, ISBN 0-321-30454-3, S. 66-67 (englisch).
10. | VirusTotal, auf chip.de, abgerufen am 12. November 2023
11. | Antivirushersteller uber Stiftung Warentest verstimmt. 4. April 2012, abgerufen am 11. September 2012.
12. | ^{a b} Das Antivirus-Lexikon: Was bedeutet eigentlich... In: heise Security. Abgerufen am 6. Marz 2018.
13. | Angriff aus dem Internet. 13. April 2012, archiviert vom Original (nicht mehr online verfugbar) am 23. August 2017; abgerufen am 11. September 2012.
14. | Jorg Thoma: Symantec-Vizechef Brian Dye - Antivirensoftware erkennt nur etwa 45 % aller Angriffe. golem.de; abgerufen am 5. Mai 2014
15. | Peter Szor: The art of computer virus research and defense. Addison-Wesley, Upper Saddle River, NJ Munich 2005, ISBN 978-0-321-30454-4. Fehler in Vorlage:Literatur - *** Parameterproblem: Dateiformat/Grosse/Abruf nur bei externem Link
16. | Was ist die heuristische Analyse? In: kaspersky.de. Kaspersky, 2024, abgerufen am 15. Juni 2024.
17. | Felix Bauer: Wie arbeiten Virenscanner? Erkennungstechniken erklart. In: www.bundespolizei-virus.de. Initiative "Bleib virenfrei", 9. August 2023, abgerufen am 15. Juni 2024.
18. | Was sind Virenscanner? Wichtige Begriffe aus dem Umfeld der Virenscanner. In: security-insider.de. Security Insider, 1. Juni 2017, abgerufen am 15. Juni 2024.
19. | Debarshi: Zweitmeinungs-Anti-Malware-Scanner mit 68 Scan-Engines. In: futuriq.de. FUTURIQ, 2. Juni 2022, abgerufen am 15. Juni 2024.
20. | Testbericht von 2004 auf av-test.org, ZIP-Format (Memento vom 6. Februar 2006 im Internet Archive)
21. | iSecLab - Welcome. Abgerufen am 13. Juni 2025.
22. | Anubis (Memento vom 21. Juni 2012 im Internet Archive)
23. | Wepawet (Memento vom 17. Marz 2009 im Internet Archive) (Projekt der TU-Wien, Eurecom France und UC Santa Barbara)
24. | https://zerowine.sourceforge.net/. 19. Dezember 2008, abgerufen am 13. Juni 2025 (amerikanisches Englisch).
25. | Norman Sandbox (Memento vom 19. Oktober 2009 im Internet Archive)
26. | The Sandbox | Understanding CyberForensics. Abgerufen am 13. Juni 2025 (amerikanisches Englisch).
27. | Uptodown Technologies SL: ThreatExpert (Windows). Abgerufen am 13. Juni 2025.
28. | Joebox (Memento vom 17. Dezember 2010 im Internet Archive)
29. | Malte Jeschke: E-Mail-Sicherheit: Den Patient Zero identifizieren. TechTarget, 1. Februar 2017, abgerufen am 8. Marz 2017.
30. | Jurgen Schmidt: Schutzbehauptung. In: c't Magazin. Nr. 2, 2009, S. 77 (Auszug auf heise.de).
31. | Website von Panda Security
32. | Pedro Bustamante: Arguments against cloud-based antivirus - A cloud-based antivirus needs to check everything against the cloud. Takes more time. Panda, 1. Dezember 2009, abgerufen am 21. Juni 2010 (englisch).
33. | McAfee Global Threat Intelligence Technology (Memento vom 23. Dezember 2010 im Internet Archive)
34. | DeepGuard - Der schnellste Schutz in der Online-Welt (Memento vom 6. April 2010 im Internet Archive)
35. | Microsoft veroffentlicht Beta-Version seiner kostenlosen Antivirenlosung. In: heise.de vom 24. Juni 2009
36. | Clam AV: Windows Antivirus (Memento vom 13. Dezember 2011 im Internet Archive)
37. | media.kasperskycontenthub.com
38. | ssdeep
39. | Norton-Fehlalarm bei Firefox-Update. Heise, 28. Juni 2010, abgerufen am 27. Februar 2011.
40. | Katharina Friedmann: Virenscanner offnen Hackern die Turen. Computerwoche, 26. November 2007, abgerufen am 25. Dezember 2021.
41. | Anti-Virus Parsing Engines. In: nruns.com, 2007 (Memento vom 9. Juli 2008 im Internet Archive)
42. | Drei Viertel der Admins trauen dem Virenscanner nicht. In: heise.de vom 14. September 2009
43. | anti-virus-rants - the rise of whitelisting. In: anti-virus-rants.blogspot.com vom 29. Marz 2006
44. | welivesecurity.com
45. | Tom Espiner: Trend Micro: Antivirus industry lied for 20 years. ZDNet, 30. Juni 2008, abgerufen am 25. Dezember 2018 (englisch).
46. | Kim Rixecker: Sicherheitsstudie: Virenscanner machen Rechner angreifbar. t3n.de, 30. Juli 2014.
47. | Joxean Koret: Breaking Antivirus Software. (PDF; 1,3 MB) COSEINC, SYSCAN 360, 2014.
48. | publisher: BSI warnt vor dem Einsatz von Kaspersky-Virenschutzprodukten. Archiviert vom Original am 17. Marz 2022; abgerufen am 15. Marz 2022. Info: Der Archivlink wurde automatisch eingesetzt und noch nicht gepruft. Bitte prufe Original- und Archivlink gemass Anleitung und entferne dann diesen Hinweis.@1@2Vorlage:Webachiv/IABot/www.bsi.bund.de
49. | Redaktion: Digital signierte Malware wesentlich haufiger als bisher angenommen. 6. November 2017, abgerufen am 2. Mai 2023 (deutsch).
50. | Welches Virenschutzprogramm ist empfehlenswert? Bundesamt fur Sicherheit in der Informationstechnik, archiviert vom Original am 7. Juni 2021; abgerufen am 7. Juni 2021. Info: Der Archivlink wurde automatisch eingesetzt und noch nicht gepruft. Bitte prufe Original- und Archivlink gemass Anleitung und entferne dann diesen Hinweis.@1@2Vorlage:Webachiv/IABot/www.bsi.bund.de
51. | Sicherheitssoftware Auch Gratisprogramme bieten guten Schutz. Stiftung Warentest, 22. Februar 2017, abgerufen am 25. Dezember 2021.

• Sicherheitssoftware

• Wikipedia:Defekte Weblinks/Ungeprufte Archivlinks 2023-03
• Wikipedia:Defekte Weblinks/Ungeprufte Archivlinks 2022-10
• Wikipedia:Uberarbeiten
• Wikipedia:Belege fehlen